Select language:

Вход
securelist.com Уровень опасности: 1
Аналитика
Веблог
Энциклопедия
Описания
Глоссарий
Детектируемые объекты
Спам и фишинг
Уязвимости и хакеры
Внутренние угрозы

Клиенты российских банков, будьте бдительны вдвойне!

Главная / Веблог / Новости / 24 июн 2009 / Клиенты российских банков, будьте бдительны вдвойне!

Печать		 Bookmark and Share
Закладки
Александр Гостев
опубликовано 24 июн 2009, 14:24  MSK
Сюжеты: Онлайн-банкинг, Уязвимости веб-сайтов, Уязвимости в веб-приложениях, Фишинг
рейтинг постинга
0.3

Сегодня мы опубликовали новость о предупреждении Центрального Банка России о значительном числе фишинговых сайтов.

Одновременно, специалисты ЦентроБанка опубликовали список адресов официальных сайтов банков России, очевидно для того, чтобы клиенты банков могли "сверить" фишинговые адреса с настоящими.

Безусловно, наличие официальной информации о реальных адресах - весьма полезно. Однако, ирония судьбы заключается в том, что сам ЦентроБанк допустил точно такую же ошибку, как компания Sun, в истории описанной нами вчера!

Если вы внимательно посмотрите на список на сайте ЦБ, то несомненно увидите, что ссылки на адреса банков реализованы не в виде прямых гиперссылок, но через специальный скрипт CoSiteRedirect.asp.

http://www.cbr.ru/credit/CoSiteRedirect.asp?ref=

Мы попробовали подставить в данную ссылку адрес Securelist и увидели следующую картину:

Прекрасно, не так ли? Скрипт не только не проверяет передаваемые параметры и способен переадресовывать на любой сайт, но еще и генерирует страницу, фактически подтверждающую "легальность" сайта на который идет переход! "Сайт кредитной организации", и это на сайте ЦентроБанка России!

Налицо серьезная уязвимость на сайте, которая может быть использована не только фишерами.

Честно говоря, даже не хочется писать очередные слова о социальной инженерии, об ошибках разработчиков, о проблемах уязвимостей. Оставим это все без комментариев.

Запомните только одно - верить в Интернете нельзя никому.

[UPDATE: 25.06.09] Данная ошибка на сайте ЦентроБанка - исправлена.


Комментарии (4)

старые сверху
новые сверху
«дерево»
список
 
Вячеслав Русаков24 июн 2009, 14:57
1
Верить нельзя никому
Как говорил мой учитель математики в школе: "Верить можно только маме" :)
ответить
vladshutov24 июн 2009, 17:03
2
К сожалению, в этом нет ничего удивительного. Так как пишут одни, а эксплуатируют другие. Те кто написал, деньги получили и забыли. И Банк России не исключение.
ответить
mimo25 июн 2009, 13:21
1
25 июня попробовала подставлять разные адреса - выдает сообщение "Error, site not found in database." А если подставить адрес из их списка, то получим как раз такую картинку, как в вашей заметке.
Исправили что ли?
ответить
Александр Гостев25 июн 2009, 13:23
2
Re:
Я бы ОЧЕНЬ сильно удивился, если бы через сутки после опубликования, это не было бы исправлено.
ответить

Логин:
Пароль
Запомнить

Зарегистрироваться

Забыли пароль?

Также в аналитике

В веблоге
 

securelist.com : аналитика, веблог, энциклопедия, описания, глоссарий, RSS, рассылки, контакты
kaspersky.ru : продукты, магазин, угрозы, сервис, загрузить, партнёры, о компании

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей